بسياري از مديران شبكه كاملا به اين حقيقت آگاه هستند كه استفاده از Telnet براي انتفال متون حفاظت نشده در روترها، سوئيچ ها و فايروال ها ايمني لازم را ندارد. ترافيك Telnet اساسا نام كاربري و كلمه عبور را در دسترس افرادي كه دائم به شبكه ها حمله مي كنند مي گذارد و اين افراد دقيقا افرادي هستند كه قصد سوء استفاده از اين اطلاعات جهت دسترسي به دستگاه هاي شبكه را دارند.بهترين جايگزين براي Telnet با مشكلات امنيتي مختص به خودش، SSH مي باشد. دقيقا شبكه Telnetشما مي توانيد از SSH براي دسترسي به دستورات IOS روي شبكه استفاده كنيد يا اينكه قادر خواهيد بود فايل هاي خود را در بستر شبكه انتقال داده و روي دستگاه خاصي كپي كنيد اما با SSH به دليل استفاده از كدگذاري و امضاي ديجيتال ديگر نگران موارد امنيتي و لو رفتن اطلاعات نخواهيد بود.
در حال حاضر دو ورژن Secure Shellموجود است يعني SSH1 و SSH2 و Cisco IOS 12.1(3)T اولين ورژني بود كه SSH1 را پشتيباني مي كرد هرچند نياز به استاندارد كدگذاري اطلاعات DES يا 3DES را داشت.
ورژن هاي بعدي IOS يعني 12.3 تا 12.3(4)T ، 12.2(25)S و 12.3(7)JAو نسخه هاي بعدي اولين نسخه هايي بودند كه از SSH2 پشتيباني مي كردند كه نيازمند IOS اي بودند كه از 3DESپشتيباني مي كرد. IOSاي كه اي كه 3DES را پشتيباني مي كند K9در نام فايل خود دارد.اين مهم است كه بدانيد SSH1وSSH2دو پروتكل كاملا متفاوت هستند. SSH2 امنيت بيشتري را ارائه مي دهد و پيشنهاد من اين است كه در صورت امكان از اين ورژن استفاده كنيد هرچند كه SSH1 بسيار بهتر از Telnet مي باشد. آن شما را در برابر حملات معمولي كه به شنود روي شبكه شما براي پيدا كردن كلمه عبور ادامه مي دهند حفاظت خواهد كرد.
Cisco IOS هردو نسخه SSH Server و SSH client را پيشنهاد مي دهد لذا شما قادر خواهيد بود از طريق SSH Client به SSH Server روتر خود وصل شويد.
حال نحوه تنظيم SSHرا برروي يك Cisco IOS توضيح مي دهم. اين تنظيمات كاملا شبيه تنظيمي مي باشد كه شما برروي يك Cisco Switchيا Cisco Firewall مورد نياز خواهيد داشت.
بطور مثال كار خود را با يك روتر Cisco 2611 با IOS اي با ورژن 12.2(15)T9 كه شامل كدگذاري 3DESاست آغاز مي كنم. فايل مربوط به اين IOS نامي به صورت c2600-ik9o3s3-mz.122-15.T9.bin دارد.
ابتدا از داشتن hostname روي روتر خود مطمئن شويد. براي انجام اين منظور از دستور زير استفاده كنيد:
ورژن هاي بعدي IOS يعني 12.3 تا 12.3(4)T ، 12.2(25)S و 12.3(7)JAو نسخه هاي بعدي اولين نسخه هايي بودند كه از SSH2 پشتيباني مي كردند كه نيازمند IOS اي بودند كه از 3DESپشتيباني مي كرد. IOSاي كه اي كه 3DES را پشتيباني مي كند K9در نام فايل خود دارد.اين مهم است كه بدانيد SSH1وSSH2دو پروتكل كاملا متفاوت هستند. SSH2 امنيت بيشتري را ارائه مي دهد و پيشنهاد من اين است كه در صورت امكان از اين ورژن استفاده كنيد هرچند كه SSH1 بسيار بهتر از Telnet مي باشد. آن شما را در برابر حملات معمولي كه به شنود روي شبكه شما براي پيدا كردن كلمه عبور ادامه مي دهند حفاظت خواهد كرد.
Cisco IOS هردو نسخه SSH Server و SSH client را پيشنهاد مي دهد لذا شما قادر خواهيد بود از طريق SSH Client به SSH Server روتر خود وصل شويد.
حال نحوه تنظيم SSHرا برروي يك Cisco IOS توضيح مي دهم. اين تنظيمات كاملا شبيه تنظيمي مي باشد كه شما برروي يك Cisco Switchيا Cisco Firewall مورد نياز خواهيد داشت.
بطور مثال كار خود را با يك روتر Cisco 2611 با IOS اي با ورژن 12.2(15)T9 كه شامل كدگذاري 3DESاست آغاز مي كنم. فايل مربوط به اين IOS نامي به صورت c2600-ik9o3s3-mz.122-15.T9.bin دارد.
ابتدا از داشتن hostname روي روتر خود مطمئن شويد. براي انجام اين منظور از دستور زير استفاده كنيد:
Router(config)# hostname TR-Router
TR-Router(config)#
سپس نام دامنه يا domain name را با استفاده از دستور ip domain-name روي روتر تنظيم كنيد. در اينجا مثالي را براي شما آورده ام: TR-Router(config)#
TR-Router(config)# ip domain-name TechRepublic.com
TR-Router(config)#
پس از اين قسمت شما بايد كليد RSA encryption را جهت استفاده در authentication و encryption داده SSH تنظيم كنيد. يكي از سوال هايي كه در اين مرحله بايد به آن پاسخ دهيد اندازه ماژول كليد است. اندازه كليد ماژول حداقل بايد 768 بيت باشد. در اينجا مثالي را براي شما آورده ام:TR-Router(config)#
TR-Router(config)# crypto key generate rsa
The name for the keys will be: TR-Router.TechRepublic.com
Choose the size of the key modulus in the range of 360 to 2048
for your General Purpose Keys. Choosing a key modulus greater than
512 may take a few minutes.
How many bits in the modulus [512]: 768
% Generating 768 bit RSA keys ...[OK]
TR-Router(config)#
*Mar 1 00:17:13.337: %SSH-5-ENABLED: SSH 1.5 has been enabled
TR-Router(config)#
همانطور كه در اين مثال مي بينيد، پس از اينكه سيستم كليد خود را توليد مي كند شما پيغامي را دريافت مي كنيد كه بطور اتوماتيك SSH1.5را برروي روتر توليد مي كند. اين پيغام نشاندهنده اين است كه سيستم SSH1را بر روي روتر فعال نموده است. در صورتيكه سيستم كليد را براي هردو نسخه SSH1 و SSH2 توليد كرده باشد پيغامي كه به شما مي دهد نمايانگر فعال شدن SSH1.99 خواهد بود. درصورتيكه تنها SSH2فعال شده باشد سيستم پيغام فعال شدن پيغام را تنها بصورت SSH2.0 نمايش خواهد داد.The name for the keys will be: TR-Router.TechRepublic.com
Choose the size of the key modulus in the range of 360 to 2048
for your General Purpose Keys. Choosing a key modulus greater than
512 may take a few minutes.
How many bits in the modulus [512]: 768
% Generating 768 bit RSA keys ...[OK]
TR-Router(config)#
*Mar 1 00:17:13.337: %SSH-5-ENABLED: SSH 1.5 has been enabled
TR-Router(config)#
همچنين شما قادر خواهيد بود تنظيمات SSH را انجام دهيد براي اين منظور از دستور ip ssh را به همراه پارامترهاي آن مي توانيد استفاده كنيد. بديهي است كه نسخه هاي متفاوت IOS پارامترهاي مختلفي را به دليل استفاده از نسخه هاي متفاوت SSH خواهند داشت. در اينجا مثالي آورده شده است :
TR-Router(config)# ip ssh ?
authentication-retries Specify number of authentication retries
Port Starting (or only) port number to listen
on
Rsa Configure RSA keypair name for SSH
source-interface Specify interface for source address in SSH
connections
time-out Specify SSH time-out interval
TR-Router(config)# ip ssh
• Use show ssh to view SSH connections.
مثال:authentication-retries Specify number of authentication retries
Port Starting (or only) port number to listen
on
Rsa Configure RSA keypair name for SSH
source-interface Specify interface for source address in SSH
connections
time-out Specify SSH time-out interval
TR-Router(config)# ip ssh
تنظيم انتخابي SSH تنظيم SSH را روي روتر كامل كرده و به انتها مي رساند. حال نگاهي به وضعيت SSH مي اندازيم لذا براي اين منظور از دستورات زير استفاده مي كنيم :
• Use show ip ssh to view SSH settings.• Use show ssh to view SSH connections.
TR-Router# show ip ssh
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries: 3
TR-Router# show ssh
%No SSH server connections running.
TR-Router#
همچنين شما مي توانيد از Buil-in SSH Client براي اتصال به ساير SSH Server ها استفاده كنيد. دستور پيشفرض ssh خواهد بود. در اينجا مثاالي آورده شده است :SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries: 3
TR-Router# show ssh
%No SSH server connections running.
TR-Router#
TR-Router# ssh ?
-c Select encryption algorithm
-l Log in using this username
-o Specify options
-p Connect to this port
WORD IP address or hostname of a remote system
TR-Router# ssh
-c Select encryption algorithm
-l Log in using this username
-o Specify options
-p Connect to this port
WORD IP address or hostname of a remote system
TR-Router# ssh
مترجم : كيانوش مراديان